Na semana passada, três notícias sobre falhas de segurança não triviais foram recebidas de uma só vez. Este ano, já tínhamos um
problema sobre esse assunto , depois estudamos a falha dos discos rígidos com a ajuda de sons
gritantes e roubo de dados pessoais através de um bug no CSS. Hoje falaremos sobre os recursos de reconhecimento de impressões digitais em smartphones Android, o ataque ao GMail em um único local e a morte do Skype usando emojis.
Vamos começar com as impressões digitais. O scanner de impressões digitais nos smartphones é um dos poucos recursos dos dispositivos modernos que realmente tornam a vida mais conveniente. Ele fornece proteção razoável para o seu telefone contra violações e permite desbloquear o dispositivo com um toque. Os fabricantes de smartphones ainda não decidiram a localização do scanner: dependendo do modelo, ele se move do painel frontal para o painel lateral, se move ao redor da câmera e a Apple corta completamente seu scanner em favor do reconhecimento de rosto. Pesquisadores chineses da Tencent descobriram uma vulnerabilidade na versão mais recente do scanner de impressão digital, localizada logo abaixo da tela.
Representantes do Xuanwu Lab, uma das unidades de pesquisa da Tencent, afirmam que absolutamente todos os telefones equipados com um scanner de impressões digitais sob a tela são vulneráveis (
notícias ). Estes são os modelos mais recentes, no próximo ano essa tecnologia é esperada em quase todos os carros-chefe. Entre os smartphones vulneráveis estavam o Huawei Mate 20 Pro e o Porsche Design Mate RS, mas este fabricante já lançou patches para esses dispositivos. A vulnerabilidade em outros modelos (Vivo, OnePlus e Xiaomi têm telefones com um scanner na tela) não foi confirmada, mas também não foi refutada.
Todos os scanners existentes desse tipo funcionam em conjunto com a tela. Quando o usuário coloca um dedo na tela, a tela destaca a superfície e sensores ópticos em miniatura analisam a impressão digital. O problema era precisamente o método de reconhecimento óptico, diferente dos sensores capacitivos usados nos scanners convencionais. O sensor óptico revelou-se sensível o suficiente para reconhecer não um dedo, mas uma impressão digital na superfície da tela. Como resultado, cortar o telefone é simples: estamos esperando o proprietário colocar o dedo na tela, selecionar o telefone, aplicar um pedaço de papel alumínio na impressão digital que permaneceu no visor - e aqui estamos autorizados. No caso da Huawei, era simples resolver o problema: eles atualizavam o algoritmo de reconhecimento, aparentemente diminuindo a sensibilidade.
Gmail - spoiler - não hackeado. O pesquisador Tim Cotten descobriu na semana passada (
notícias , um
post de blog especializado ) um método de colocar cartas na pasta Itens Enviados. Tudo começou com o fato de Tim encontrar na pasta Itens Enviados cartas que ele claramente não enviava. Como se viu, se, ao enviar uma carta, indicar nas informações sobre o remetente o e-mail do destinatário, o GMail colocará a carta automaticamente na pasta apropriada.
Vale ressaltar que o próprio GMail não permite o envio de cartas se o nome do remetente contiver um endereço de e-mail. Mas quando essas mensagens chegam e o endereço no nome do remetente corresponde ao endereço do destinatário, elas aparecem na pasta com as mensagens enviadas. Isso pode causar pelo menos perplexidade, mas um truque tão complicado também pode aumentar as chances de um usuário inexperiente abrir um link malicioso a partir de um email, tentando entender o que ele enviou. O mesmo pesquisador
descobriu mais tarde que, se você tentar inserir tags html no nome do remetente, poderá receber uma mensagem na caixa de entrada que não possui remetente.
Por fim, o SEC Consult Vulnerability Lab
encontrou um bug interessante no Skype (agora sabemos quem o usa!). Certamente, algumas versões do messenger usam algoritmos muito complexos para exibir emojis; portanto, não foi difícil compor um ataque de negação de serviço em um cliente do Skype. Os pesquisadores simplesmente começaram a enviar emoji em várias partes de cada vez e, quando o número em uma mensagem chegou a centenas, o cliente começou a desacelerar visivelmente.
Oitocentos "gatinhos do destino" - e o aplicativo congela por alguns segundos. Se você continuar enviando emojis, poderá desativar o cliente por um longo tempo. As vulnerabilidades são afetadas apenas por algumas versões dos clientes do Skype for Business 2016, bem como pelo antecessor, Microsoft Lync 2013. A vulnerabilidade foi encerrada nesta semana, mas o próprio fato de esse problema ter sido detectado nas versões comerciais do Skype nos diz o quê? Que as emoções não têm lugar no trabalho! A propósito, juntamente com o Skype emocional, a Microsoft fechou uma vulnerabilidade muito mais séria no Windows 7 de 32 bits,
descoberta anteriormente por especialistas da Kaspersky Lab com base na análise de um ataque cibernético real.
Isenção de responsabilidade: as opiniões expressas neste resumo nem sempre coincidem com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.